一种工控设备的用户访问权限分置系统及其使用方法技术方案

一种工控设备的用户访问权限分置系统，包括设置在工控设备上的智能卡生成模块、用户名和密码生成模块、第一认证模块、第一交互模块和设置在客户主机中的第二认证模块和第二交互模块，通过本发明专利技术的系统，形成五种权限管理，即设备管理员、用户管理员、安全员、审计员和操作员权限管理，在所述工控设备出厂时配置设备管理员智能卡，由设备管理员生成用户管理员智能卡、安全员智能卡、审计员智能卡和操作员智能卡，这五种权限相互排斥，避免了超级用户的产生，同时在登录系统时采用双因子认证，达到安全可靠、不可抵赖、操作有据的效果。操作有据的效果。操作有据的效果。

【技术实现步骤摘要】
一种工控设备的用户访问权限分置系统及其使用方法


[0001]本专利技术涉及工业控制领域，尤其涉及一种工控设备的用户访问权限分置系统及其使用方法。

技术介绍

[0002]我国成千上万台工控系统服务主机应用于各大型企业，再加上几百万台终端控制服务器，在控制系统中对控制设备的访问几乎没有做权限分解和互斥限制，基本都是超级用户可以访问任何资源，执行任何控制，风险非常巨大。工业控制系统本身在信息安全方面起步较晚，技术还不成熟，在工控设备上增加安全通信、安全访问功能又相对较复杂一些，因此发展缓慢。一方面是由于工控系统相对独立，注重应用功能的实现，而对安全的需求没有引起足够重视；另一方面是安全通信范围较广，不仅要求通信加密，还要求通信双方互相认证，这与工业控制的实时性、可靠性和集散控制的要求有部分冲突，必须增加资源来解决这些矛盾。
[0003]当前工控领域在信息安全方面应用的安全设备基本是基于中控室主机的保护以及网络的保护，成型的产品有工业防火墙、漏扫设备、网监设备、工业网闸、入侵检测等设备，这些产品做了访问权限规划，有三权分立的设计，也有四权分立的设计，各厂家的设计各不相同。
[0004]基于分权的安全智能卡集成系统是“三权分立”安全管理的典型应用，它基于先进的智能卡安全技术，把身份认证和其它有关的安全功能进行有效的集成，为应用安全提供工作平台，增强信息系统中原有的各种应用服务的安全功能。
[0005]在现有技术中广泛采用智能卡安全集成系统，通过“三权分立”的安全管理建立严格的身份认证机制。对于所有接触该系统的人员，按其职责设定其访问系统的最小权限，并且按照分级管理原则，严格管理内部用户账号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户账号和密码。具体实现用户身份认证时，可以通过服务器CA证书与IC 卡相结合实现。CA 证书用来认证服务器的身份，IC 卡用来认证企业用户的身份等等。
[0006]然而，现有的三权分立管理机制存在诸多其不足之处，诸如：1.智能卡双口令身份认证虽然更安全，避免口令攻击造成系统风险，但是目前存在智能卡丢失无法自行补办，以及密码忘记如何重置密码的问题。
[0007]2.用户身份与智能卡绑定，虽然方便登录但是丢失智能卡后，被别人拿到实际上也存在风险。就像捡到身份证和银行卡到银行取钱一样。
[0008]另外，现有的工控进行维护操作时，要在工控设备上插入智能卡，然后远程登录，如图1所示，这种方式的不足是：工控设备中用于连接智能卡的接口很少，导致能同时登录工控设备的用户很少。而且对于边缘设备来说，有时候边缘采集设备的工作环境恶劣（如核辐射环境），不适合直接对设备进行操作。

技术实现思路

[0009]为了解决现有技术中存在的技术问题，本专利技术旨在提供一种针对工业控制设备在现场应用的各角色用户访问权限的分置系统，包括设置在工控设备上的智能卡生成模块、用户名和密码生成模块、第一认证模块、第一交互模块和设置在客户主机中的第二认证模块和第二交互模块；其中，智能卡生成模块，用于读取设备管理员智能卡的信息，接收第一交互模块接收的客户命令生成角色智能卡；用户名和密码生成模块，用于接收第一交互模块接收的客户命令生成或修改所述角色智能卡的用户名和密码；第一认证模块，用于与第二认证模块通信，并对第二认证模块传送的认证信息进行判断，并向第一交互模块发送角色信息；第一交互模块，用于接收第一认证模块发送的角色信息，然后获取相应的功能模块，从而与第二交互模块交互；第二认证模块，用于读取角色智能卡的信息，接收用户名和密码，然后将认证信息发送给第一交互模块，认证信息包括客户主机地址、用户名和密码以及角色智能卡的信息；第二交互模块，用于与第一交互模块交互，接收客户命令或向客户呈现结果。
[0010]进一步的，所述角色为用户管理员、安全员、审计员和/或操作员，所述智能卡的信息包括角色特征信息和证书，所述角色特征信息包括智能卡的角色特征，所述证书包括允许登录的工控设备的信息。
[0011]进一步的，所述系统还包括设置在工控设备上的解密智能卡生成模块，用于为用户管理员生成解密智能卡。
[0012]进一步的，所述系统还包括设置在工控设备上的解密模块，用于读取解密智能卡的信息，从第一交互模块接收解密命令，从第一认证模块接收仅密码错误信息，然后对用户管理员智能卡的用户密码解密或重置，并通过第一交互模块和第二交互模块呈现给客户。
[0013]进一步的，在所述第一认证模块中，接收第二认证模块发送的认证信息，根据认证信息中角色特征信息和证书以及用户名和密码，进行身份认证和口令认证；如果认证通过，则向第一交互模块发送角色信息；如果用户管理员智能卡认证通过但用户为用户管理员并且密码错误，则向解密模块发送仅用户管理员密码错误信息。
[0014]根据本专利技术的另一方面，提出一种工控设备的用户访问权限分置系统的使用方法，包括：在工控设备上插入设备管理员智能卡，第二交互模块接收客户命令，并将所述客户命令发送给第一交互模块和智能卡生成模块，由智能卡生成模块生成用户管理员智能卡、安全员智能卡、审计员智能卡和操作员智能卡；在客户主机上插入用户管理员智能卡，用户名和密码生成模块通过第一交互模块和第二交互模块接收客户命令，为安全员智能卡、审计员智能卡和操作员智能卡生成用户名和密码。
[0015]进一步的，所述智能卡包含角色特征信息和证书，所述角色特征信息包含智能卡的角色特征，所述证书包含允许登录的工控设备；将智能卡的角色信息和证书以及对应的用户名、密码保存在数据库中，以在认证用户的时候使用。
[0016]进一步的，所述使用方法还包括：在客户主机上插入用户管理员智能卡，在工控设备上插入解密智能卡；解密智能卡生成模块通过第一交互模块、第二交互模块接收客户命令，并且还收到第一认证模块传送的用户为用户管理员信息后，生成解密key，并将用户管理员和解密key写入解密智能卡。
[0017]进一步的，所述方法还包括：在客户主机上插入用户管理员智能卡，在工控设备上插入解密智能卡；解密模块通过第一交互模块、第二交互模块接收客户命令，并且还收到第一认证模块传送的仅用户管理员密码错误信息后，对所述用户管理员的用户密码解密或重置。
[0018]通过本专利技术，能够形成五种权限管理即设备管理员、用户管理员、安全员、审计员和操作员权限管理的一种工控设备的用户分权和认证方法，这五种权限相互排斥，避免了超级用户的产生，同时在登录系统的方式上实现了创新，达到安全可靠、不可抵赖、操作有据的效果。
[0019]附图说明
[0020]图1为现有认证结构示意图；图2为本专利技术一个实施例的用户访问权限分置系统的结构示意图；图3为本专利技术一个实施例的用户访问权限分置系统的使用方法流程示意图；图4为本专利技术一个实施例的认证结构示意图。
具体实施方式
[0021]下面结合附图和具体实施例对本专利技术提供的一种工控设备的用户访问权限分置系统及其使用方法进行详细描述。
[0022]在以下的描述中，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控设备的用户访问权限分置系统，其特征在于，所述系统包括设置在工控设备上的智能卡生成模块、用户名和密码生成模块、第一认证模块、第一交互模块和设置在客户主机中的第二认证模块和第二交互模块；其中，智能卡生成模块，用于读取设备管理员智能卡的信息，接收第一交互模块接收的客户命令生成角色智能卡；用户名和密码生成模块，用于接收第一交互模块接收的客户命令生成或修改所述角色智能卡的用户名和密码；第一认证模块，用于与第二认证模块通信，并对第二认证模块传送的认证信息进行判断，并向第一交互模块发送角色信息；第一交互模块，用于接收第一认证模块发送的角色信息，然后获取相应的功能模块，从而与第二交互模块交互；第二认证模块，用于读取角色智能卡的信息，接收用户名和密码，然后将认证信息发送给第一交互模块，认证信息包括客户主机地址、用户名和密码以及角色智能卡的信息；第二交互模块，用于与第一交互模块交互，接收客户命令或向客户呈现结果。2.根据权利要求1所述的系统，其特征在于，所述角色为用户管理员、安全员、审计员和/或操作员，所述智能卡的信息包括角色特征信息和证书，所述角色特征信息包括智能卡的角色特征，所述证书包括允许登录的工控设备的信息。3.根据权利要求2所述的系统，其特征在于，所述系统还包括设置在工控设备上的解密智能卡生成模块，用于为用户管理员生成解密智能卡。4.根据权利要求3所述的系统，其特征在于，所述系统还包括设置在工控设备上的解密模块，用于读取解密智能卡的信息，从第一交互模块接收解密命令，从第一认证模块接收仅密码错误信息，然后对用户管理员智能卡的用户密码解密或重置，并通过第一交互模块和第二交互模块呈现给客户。5.根据权利要求1所述的系统，其特征在于，在所述第一认证模块中，接收第二认证模...

【专利技术属性】
技术研发人员：李欣，李元正，李永成，
申请(专利权)人：北京国泰网信科技有限公司，
类型：发明
国别省市：